WO2020007660A1 - Steuereinheit und betriebsverfahren für eine integritätsselbstüberwachung geeignet für ein insbesondere in einer automatisierungsumgebung verwendbares gerät - Google Patents

Steuereinheit und betriebsverfahren für eine integritätsselbstüberwachung geeignet für ein insbesondere in einer automatisierungsumgebung verwendbares gerät Download PDF

Info

Publication number
WO2020007660A1
WO2020007660A1 PCT/EP2019/066865 EP2019066865W WO2020007660A1 WO 2020007660 A1 WO2020007660 A1 WO 2020007660A1 EP 2019066865 W EP2019066865 W EP 2019066865W WO 2020007660 A1 WO2020007660 A1 WO 2020007660A1
Authority
WO
WIPO (PCT)
Prior art keywords
integrity information
integrity
control unit
information
unit according
Prior art date
Application number
PCT/EP2019/066865
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2020007660A1 publication Critical patent/WO2020007660A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]

Definitions

  • Control unit and operating method for integrity self-monitoring suitable for a device that can be used in particular in an automation environment
  • the invention relates to a control unit and an operating method for integrity self-monitoring suitable for a device that can be used in particular in an automation environment.
  • IT security mechanisms to protect products, such as devices (eg control units / devices, Internet of Things (IoT) devices), device components or software components, from manipulation and / or a reverse Protect engineering.
  • Cryptographic IT security mechanisms are already in use, for example, in smart devices, for example in devices of the Internet of Things (IoT), cyber-physical systems, automation systems or manufacturing systems, operating technology and other systems.
  • security in the context of the present description essentially relates to the security or protection, confidentiality and / or integrity of data and its transmission and also security, confidentiality and / or integrity when accessed on corresponding data. Authentication during data transmissions or during data access also belongs to the term "security", as used in the context of the present description.
  • a module can be designed as a hardware and / or functional unit, the software and / or firmware The function can be carried out, for example, by means of a processor and / or a memory unit for storing program instructions.
  • Tamper-proof in the present description goes beyond the term “security”. This will not only the cryptographic or security methods mentioned are used, but also the data transmission is reliably ensured against attacks or external access from outside.
  • Industrial devices e.g. Control devices, field devices, IoT devices or IoT gateways use a plurality of cryptographic keys, e.g. to authenticate, to protect the integrity of stored data and program code, to check and decrypt firmware updates and to protect the integrity and, if necessary, the confidentiality of configuration and configuration data.
  • the devices mentioned can be equipped with a data interface that is wired and also as a wireless interface, e.g. a WLAN, a Bluetooth or an NFC interface (NFC: Near Field Communication) can be designed and set up. With the help of this data interface, the device can be connected to a network or communicate with other devices.
  • Additional wireless or radio-based transmission technologies can be used (e.g. Safety over WLAN such as ProfiSafe, WiMax, Cloud Robotics, GSM, UMTS, LTE, 5G, Vehicle-2-X-Communication for autonomous vehicles or autonomous driving, radio-based train protection ETCS).
  • Position information PVT: position, velocity, time
  • GPS satellite navigation system
  • Galileo Beidou
  • Glon ass a satellite navigation system
  • the integrity of the operation must be guaranteed.
  • it can be checked during the start-up process that software that is actually authorized is loaded (Secure Boot, Verified Boot), or it can be determined which software was loaded (Trusted Boot, Measured Boot).
  • the integrity of files on the device can be checked during ongoing or operative operation. Such tests The device itself can be used.
  • PCR platform configuration register
  • TPM Trusted Platform Module
  • a method or device for checking the integrity of user data is known from DE 10 2016 205 289 A1.
  • the invention claims a control unit for integrity self-monitoring, suitable for a device that can be used or used in particular in an automation environment, comprising: a provision unit that is designed to provide a cryptographically protected or trustworthy reference integrity information, which is determined and / or created or formed during a protected operating phase or operating mode of the device,
  • comparison unit which is designed to compare or compare the reference integrity information with a runtime integrity information, which is determined and / or created during an operational phase of operation of the device, and
  • an output unit which is designed to output a message initiating at least one follow-up measure depending on the comparison result.
  • the message can initiate an alarm, a restart, a deletion of data, a lighting of a diode and / or the establishment of a switching connection for the follow-up action.
  • the provisioning unit can contain a cryptographic checksum, e.g. a digital signature or a message authentication code that form reference integrity information.
  • the control unit or the control unit can furthermore have a test unit which checks the cryptographic checksum of the reference integrity information in an operational operating phase. In the event of a deviation, a message initiating at least one follow-up action can be output.
  • control unit can provide the reference integrity information used in a cryptographically protected manner, so that it can be checked by a further device which reference integrity information a device uses for its integrity self-monitoring.
  • the same cryptographic checksum can be used, which is used for a device internal check of the reference integrity information by the test unit of the device, or a further cryptographic checksum, which uses a different cryptographic key and / or a different cryptographic method is formed.
  • the reference integrity information and the runtime integrity information can each comprise at least one value for one or more integrity checksums of files and / or configuration data and / or at least one information value for one or more hardware components of the device.
  • Integrity information can include hardware IDs of components, connected assemblies such as IO modules, kernel modules, apps, process lists, permitted system users).
  • the reference integrity information can be cryptographically protected by a checksum and / or have a validity information value. It is possible to provide the reference integrity information as a prepared digitally signed data structure. For example, contained in a firmware re-image of the device.
  • the protected operating phase preferably runs during a start-up phase of the device and can perform a secure / regular boot.
  • the protection of the operating phase can be achieved through restrictions. Examples of such restrictions are access to certain (I / O) components or interfaces, determining whether components can be updated, using cryptographically protected firmware, etc.)
  • the reference integrity information can be determined and / or generated in an event-controlled manner.
  • Integrity information is checked or compared. In the event of a discrepancy, a message initiating at least one follow-up action can be output depending on the comparison result. This has the advantage that a double integrity check is carried out. This ensures a particularly high level of protection.
  • the comparison unit checks the correspondence of the plurality of reference integrity information items determined in each case in a protected operating phase, as well as the correspondence of a runtime integrity check information item determined in normal, operational operation with the current reference integrity information item. In one embodiment, as a follow-up measure in the event of a deviation of the reference integrity information formed with a reference integrity information formed in the past, the regular operating mode of the control unit can be blocked.
  • the blocking can be released, for example, in a service operating mode or by actuating a switch or a button, that is to say that an explicit release must take place when the reference integrity information is changed.
  • a deviation up to a predeterminable degree may be permissible.
  • the reference integrity information using a trusted platform module can be determined and / or created and cryptographically protected.
  • At least one value of the reference integrity information should be able to be attested.
  • IMA list Intelligent Measurement Architecture
  • a PCR register number For example, a PCR register number, template hash value, file date, hash value etc. are a possible embodiment.
  • the IMA list can include at least one random value (nonce).
  • the self-monitoring device needs a trustworthy reference - integrity information in order to check the measurements determined during operation.
  • the device itself creates or generates its reference integrity information for the runtime integrity check.
  • the reference integrity information is determined protected by the device itself during a protected operating phase.
  • This protected operating phase can also be referred to as a self-integrity learning operating phase.
  • Integrity reference information protected against manipulation by a cryptographic check sum can be formed.
  • an integrity measuring unit determines the current integrity information.
  • This integrity information includes, for example, integrity checksums of files and configuration data, information about hardware components (hardware IDs of components, connected assemblies such as IO modules, kernel modules, apps, process lists, permitted system users) and is ultimately used as reference integrity information provided .
  • Another aspect of the invention is an operating method for a device that can be used or used in particular in an automation environment, the following method steps being carried out for integrity self-monitoring:
  • the invention has the advantage that the reference integrity information required in the case of integrity self-monitoring is generated by the device itself and is therefore not dependent on other devices or the services providing the reference integrity information.
  • a computer program comprising program code which can be executed by at least one processor and which causes the at least one processor to execute the (operating) method according to the invention and its embodiments.
  • the computer program can run on a control unit of the aforementioned type or can be stored as a computer program product on a computer-readable medium.
  • a variant of the computer program (product) with program commands for configuring a creation device for example a 3D printer, a computer system or a production machine suitable for creating processors and / or devices.
  • the method and computer program (products) can be formed according to the further developments / embodiments of the aforementioned device and their further developments / embodiments.
  • FIG. 1 functional blocks of the control unit according to the invention for creating reference integrity information
  • FIG. 2 functional blocks of the control unit according to the invention in the operative operating mode.
  • FIG. 1 shows function blocks of the control unit or device D according to the invention in order to create, generate or form a reference integrity information which can be protected with a cryptographic checksum CS.
  • a special protected operating phase SB preferably a start phase (boot phase), which ensures the integrity of the test functions CF and the reference
  • Integrity information generator REFG ensures.
  • Device interfaces e.g. a network interface NIF, input / output interface IOF and service interface SIF, deactivated, so that it is ensured that the reference integrity information values cannot be manipulated by an attacker who accesses the device via such an interface.
  • a supply unit IG then provides the reference
  • Integrity information generator REFG created reference integrity information of the runtime
  • Integrity self-monitoring function IC of the control unit in the protected operating phase so that the runtime integrity monitoring function can be carried out for the operational operating phase, with which a comparison of the reference integrity information with a runtime integrity
  • Integrity information is checked.
  • a message initiating at least one follow-up measure can be output depending on the comparison result. This has the advantage that a double integrity check is carried out. This ensures a particularly high level of protection.
  • the correspondence of the several reference values, each determined in a protected operating phase, is checked.
  • Integrity information checked, as well as the compliance of a runtime integrity check information determined in regular, operational operation with the current reference - integrity information In one embodiment, if the reference formed deviates,
  • Integrity information with a reference formed in the past - integrity information of the regular operating mode of the control unit can be blocked.
  • the blocking can e.g. in a service operating mode or by actuating a switch or a button, i.e. that an explicit release must take place when the reference integrity information is changed.
  • a deviation up to a predeterminable degree may be permissible.
  • FIG. 2 shows the functional blocks of the control unit according to the invention with a runtime device integrity self-monitoring.
  • an integrity measuring unit ME determines the current integrity information.
  • the correspondence with the runtime integrity information with the reference integrity information is checked by a comparison unit ICH.
  • the cryptographic checksum for example a digital signature or a message authentication code of the integrity reference information, is preferably checked by a checking unit CS. In the event of a deviation, a message initiating at least one follow-up action can be output.
  • such a message is provided, for example, an alarm message NF, a follow-up measure, for example a diode DD lighting up, logging in a log file LOG initiated, the device restarted by a follow-up function RF, a switching signal S by an output unit R output or, if applicable, configuration data (in particular cryptographic keys) deleted.
  • a follow-up measure for example a diode DD lighting up, logging in a log file LOG initiated, the device restarted by a follow-up function RF, a switching signal S by an output unit R output or, if applicable, configuration data (in particular cryptographic keys) deleted.
  • the operating phases can be protected by a differently strict secure boot:
  • An “autistic secure boot” is preferably used for teaching, in which it is ensured that the device cannot be attacked from the outside
  • Interfaces in particular network interfaces, input / output ports, service interfaces, backplane, debug ports, deactivated. This can also be referred to as a "closed startup”. Furthermore, a "secure boot” is preferably carried out, in which only permissible firmware protected by a cryptographic checksum is loaded.
  • the determination of the integrity reference information can be triggered for different events that are controlled by an event control unit or event dealer EH:
  • the reference integrity information can furthermore have validity information which can be seen in addition to the cryptographic Checksum is verified or checked to determine whether reference integrity information is valid (e.g.
  • Timestamp, validity period, boot counter, update counter, firmware version, device hardware version can ensure that old, earlier reference integrity information is not used.
  • the device is designed to be quasi redundant or doubled or mirrored. Then the redundant "slave” device is designed almost like the “master” device. The "master” device could then be interpreted in FIG. 2 and the “slave” device in FIG. 1. The “master” device thus receives the generated reference integrity information for comparison with the runtime integrity information from the "slave” device.
  • the runtime integrity reference information is formed using a trusted platform module TPM (not shown in the figures) from the reference integrity information generator REFG and is cryptographically protected. Integrity measurements are determined and a PCR register of the TPM is updated depending on this.
  • TPM trusted platform module
  • the value is digitally signed or attested by the TPM, i.e. the TPM module forms a cryptographically protected, digitally signed data structure that confirms the content of the PCR register.
  • the attestation is not provided to another device, but provided and checked by it. The attestation is used within the device by the runtime integrity self-monitoring function IC in order to check the integrity of the reference data in a different operating mode.
  • IMA Linux Integrity Measurement Architecture
  • REFG the reference integrity generator
  • regular operation RB the reference integrity information is checked on the basis of the TPM attestation, and if this is valid, its content is used to check the Integrity measurements determined at runtime are used. This means that a TPM attestation that was created on the device in a protected operating mode is later checked on the same device in an operative operating mode, ie in regular operation.
  • An attestation data structure can confirm the PCR value with a digital signature.
  • a nonce is optionally available, in particular a random value that was provided by the node for which the attestation is issued.
  • an integrity measurement list (IMA measurement file) (shown in abbreviated form) is included as an example. This contains a large number of measurements.
  • An entry shows the register number of the PCR register (e.g. No. 10), a template hash value, a file date hash value and a reference to the file name (see for example https: // sourceforge net / p / linux- ima / wiki / Home /)
  • shal hash filedata-hash length, filedata-hash, pathname length, pathname
  • the IMA-based embodiment has the advantage that it can be implemented with relatively little effort.
  • Another way to check the reference IMA list is to repeat the measurements at runtime and check the determined measured value for agreement with the measured value stored in the reference IMA list.
  • the reference information as a prepared, digitally signed data structure. For example, contained in a firmware image of the device.
  • Computer-readable memories are, for example, volatile memories such as caches, buffers or RAM as well as non-volatile memories such as removable data carriers, hard disks, etc.
  • the functions or steps described above can be in the form of at least one set of instructions in / on a computer-readable memory.
  • the functions or steps are not tied to a specific instruction set or to a specific form of instruction sets or to a specific storage medium or to a specific processor or to specific execution schemes and can be implemented by software, firmware, microcode, hardware, processors, integrated circuits etc. can be run alone or in any combination.
  • Various processing strategies can be used, for example serial processing by a single processor or multiprocessing or multitasking or parallel processing etc.
  • the instructions can be stored in local memories, but it is also possible to store the instructions on a remote system and to access them via the network.
  • Control unit or “data evaluation means”, as used here, includes processing means in the broadest sense, for example servers, universal processors, graphics processors, digital signal processors, application-specific integrated circuits (ASICs), programmable logic circuits such as FPGAs, discrete analog or digital circuits and any combinations thereof, including all other processing agents known to those skilled in the art or developed in the future.
  • Processors can consist of one or more devices or devices. If a processor consists of several devices, these can be designed or configured for parallel or sequential processing or execution of instructions.

Abstract

Die Erfindung beansprucht eine Steuereinheit (D) für eine Integritätsselbstüberwachung geeignet für ein insbesondere in einer Automatisierungsumgebung verwendbares Gerät, aufweisend: - eine Bereitstellungseinheit (REFG), die dazu ausgelegt ist, eine kryptographisch geschützte Referenz-Integritätsinformation bereitzustellen, welche während einer geschützten Betriebsphase (SB) des Geräts erstellt wird, - eine Vergleichseinheit (ICH), die dazu ausgelegt ist, die Referenz-Integritätsinformation (REFP) mit einer Laufzeit-Integritätsinformation zu vergleichen, die während einer operativen Betriebsphase des Geräts ermittelt wird, und - einer Ausgabeeinheit (R), die dazu ausgelegt ist, eine zumindest eine Folgemaßnahme einleitenden Nachricht abhängig vom Vergleichsergebnis auszugeben.

Description

Beschreibung
Steuereinheit und Betriebsverfahren für eine Integritäts selbstüberwachung geeignet für ein insbesondere in einer Au tomatisierungsumgebung verwendbares Gerät
Die Erfindung betrifft eine Steuereinheit und ein Betriebs verfahren für eine Integritätsselbstüberwachung geeignet für ein insbesondere in einer Automatisierungsumgebung verwendba res Gerät.
Es besteht ein Bedarf, um mit IT-Security-Mechanismen Produk te, beispielsweise Geräte (z.B. Steuereinheiten/-geräte, In- ternet-der-Dinge (IoT) -Geräte) , Gerätekomponenten oder Soft warekomponenten, vor Manipulationen und/oder einem Reverse Engineering zu schützen. Kryptographische IT-Security- Mechanismen sind bereits beispielsweise in Smart Devices, beispielsweise in Geräten des Internets der Dinge (IoT) , von cyberphysikalischen Systemen, von Automatisierungssystemen oder von Fertigungssystemen, der Betriebstechnik und von an deren Anlagen in Einsatz .
Der Begriff „Security" bzw. „Sicherheit" bezieht sich im Rah men der vorliegenden Beschreibung im Wesentlichen auf die Si cherheit bzw. Schutz, Vertraulichkeit und/oder Integrität von Daten sowie deren Übertragung und auch Sicherheit, Vertrau lichkeit und/oder Integrität beim Zugriff auf entsprechende Daten. Auch die Authentifizierung bei Datenübertragungen be ziehungsweise beim Datenzugriff gehört zum Begriff „Sicher heit", wie er im Rahmen der vorliegenden Beschreibung verwen det wird. Ein Modul kann hierbei als eine Hardware- und/oder Funktionseinheit, die Software- und/oder firmwaremäßig ausge staltet sein kann, ausgeprägt sein. Die Funktion kann bei spielsweise mittels eines Prozessors und/oder einer Speicher einheit zum Speichern von Programmbefehlen ausgeführt werden.
Manipulationsgeschützt geht in der vorliegenden Beschreibung über den Begriff "Security" hinaus. Hierbei werden nicht nur die genannten kryptographisehen bzw. Security-Methoden einge setzt, sondern auch die Datenübertragung verlässlich gegen Angriffe bzw. Fremdzugriffe von außen sichergestellt.
Industrielle Geräte, z.B. Steuergeräte, Feldgeräte, IoT- Geräte oder IoT-Gateways , verwenden eine Mehrzahl von krypto- graphischen Schlüsseln, z.B. um sich zu authentisieren, um Integrität von gespeicherten Daten und Programmcode zu schüt zen, um Firmware-Updates zu prüfen und zu entschlüsseln und um die Integrität und ggf. die Vertraulichkeit von Projektie- rungs- und Konfigurationsdaten zu schützen. Um Daten, vor al lem Steuerdaten, zu übertragen, können die genannten Geräte mit einer Datenschnittstelle ausgestattet sein, die drahtge bunden als auch als Drahtlos-Schnittstelle, z.B. eine WLAN- , eine Bluetooth- oder eine NFC-Schnittstelle (NFC: Near Field Communication) ausgebildet und eingerichtet sein. Mit Hilfe dieser Datenschnittstelle kann das Gerät an ein Netzwerk an gebunden werden bzw. mit anderen Geräten kommunizieren.
Es sind weitere drahtlose bzw. funkbasierte Übertragungstech niken hierbei einsetzbar (z.B. Safety over WLAN wie z.B. Pro- fiSafe, WiMax, Cloud Robotics, GSM, UMTS, LTE, 5G, Vehicle-2- X-Communication für autonome Fahrzeuge bzw. autonomes Fahren, funkbasierte Zugsicherung ETCS) . Auch kann funkbasiert eine Positionsinformationen (PVT: position, velocity, time) über ein Satellitennavigationssystem (GPS, Galileo, Beidou, Glon ass) empfangen werden, die für eine Steuerungsfunktion des Geräts verwendet wird.
Bei kritischen IT-Systemen und Steuerungssystemen, insbeson dere wenn sie in einer industriellen Automatisierungsumgebung eingesetzt werden, muss die Integrität im Betrieb gewährleis tet werden. Dazu kann zum einen beim Startvorgang geprüft werden, dass tatsächlich zugelassene Software geladen wird (Secure Boot, Verified Boot), bzw. es kann ermittelt werden, welche Software geladen wurde (Trusted Boot, Measured Boot) . Weiterhin kann im laufenden bzw. operativen Betrieb die In tegrität von Dateien des Gerätes geprüft werden. Solche Prü- fungen können auf dem Gerät selbst erfolgen. Es ist jedoch auch möglich, die erfassten Integritäts-Rohdaten (Messungen, Hash-Werte bzw. Einwegfunktionen von Programmen und anderen Dateien) als Plattform Konfiguration in einem Platform Confi- guration Register (PCR) zu erfassen, z.B. durch ein TPM-Modul (Trusted Platform Module) , und den aktuellen Wert eines PCR- Registers kryptographisch geschützt zu bestätigen (Attestati on) .
Aus DE 10 2016 205 289 Al ist ein Verfahren bzw. Gerät zur Integritätsprüfung von Nutzerdaten bekannt.
Es besteht ein Bedarf an einer verbesserten Geräteintegri- täts-Selbstprüfung (Device Health Check) .
Es ist Aufgabe der vorliegenden Erfindung, Verfahren und Vor- bzw. Einrichtungen bzw. Einheiten mit gegenüber dem oben ge nannten Stand der Technik insbesondere im Umfeld der Automa tisierung zu verbessern.
Die Aufgabe wird durch die in den unabhängigen Ansprüchen an gegebenen Merkmale gelöst. In den abhängigen Ansprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.
Die Erfindung beansprucht eine Steuereinheit (Control Device) für eine Integritätsselbstüberwachung, geeignet für ein ins besondere in einer Automatisierungsumgebung verwendbares bzw. einsetzbares Gerät, aufweisend: eine Bereitstellungseinheit, die dazu ausgelegt ist, ei ne kryptographisch geschützte bzw. vertrauenswürdige Re ferenz - Integritätsinformation bereitzustellen, welche während einer geschützten Betriebsphase- bzw. Betriebs modus des Geräts ermittelt und/oder erstellt bzw. gebil det wird,
eine Vergleichseinheit, die dazu ausgelegt ist, die Re ferenz-Integritätsinformation mit einer Laufzeit- Integritätsinformation zu vergleichen bzw. abzugleichen, die während einer operativen Betriebsphase des Geräts ermittelt und/oder erstellt wird, und
einer Ausgabeeinheit, die dazu ausgelegt ist, eine zu mindest eine Folgemaßnahme einleitenden Nachricht abhän gig vom Vergleichsergebnis auszugeben.
Wenn das Vergleichsergebnis eine Abweichung der genannten In tegritätsinformationen repräsentiert, kann die Nachricht ei nen Alarm, einen Neustart, ein Löschen von Daten, ein Leuch ten einer Diode und/oder ein Herstellen einer Schaltverbin dung für die Folgemaßnahme einleiten.
Wenn das Vergleichsergebnis eine Übereinstimmung (wobei eine Abweichung bis zu einem vorgebbaren Grad zulässig sein kann) der Referenz - Integritätsinformation mit der Laufzeit- Integritätsinformation repräsentiert, kann eine Bestätigungs nachricht (Notification) ausgegeben werden.
In einer Ausführungsform der Erfindung kann die Bereitstel lungseinheit eine kryptographische Prüfsumme, z.B. eine digi tale Signatur oder einen Nachrichtenauthentisierungscode , der Referenz - Integritätsinformation bilden. In einer Ausführungs form der Erfindung kann die Steuer (ungs) einheit bzw. das Steuergerät weiterhin eine Prüfeinheit aufweisen, welche in einer operativen Betriebsphase die kryptographische Prüfsumme der Referenz - Integritätsinformation überprüft. Bei einer Ab weichung kann eine zumindest eine Folgemaßnahme einleitenden Nachricht ausgegeben werden.
Weiterhin kann das Steuereinheit die verwendete Referenz - Integritätsinformation kryptographisch geschützt bereitstel len, sodass durch ein weiteres Gerät überprüfbar ist, welche Referenz - Integritätsinformation ein Gerät für seine Integri- tätsselbstüberwachung verwendet. Dazu kann die gleiche kryp tographische Prüfsumme verwendet werden, die für eine Geräte interne Prüfung der Referenz - Integritätsinformation durch die Prüfeinheit des Gerätes verwendet wird, oder eine weitere kryptographische Prüfsumme, die mit einem unterschiedlichen kryptographisehen Schlüssel und/oder einem unterschiedlichen kryptographisehen Verfahren gebildet wird.
Die Referenz - Integritätsinformation und die Laufzeit- Integritätsinformation können jeweils mindestens einen Wert für ein oder mehrere Integritätsprüfsummen von Dateien und/oder Konfigurationsdaten und/oder zumindest einen Infor mationswert zu ein oder mehreren Hardwarekomponenten des Ge räts umfassen.
Eine Integritätsinformation kann Hardware-IDs von Bauteilen, verbundenen Baugruppen wie z.B. IO-Modulen, Kernel -Modulen, Apps, Prozessliste, zulässige Systemnutzer) umfassen. Die Re ferenz - Integritätsinformation kann durch eine Prüfsumme kryp- tographisch geschützt und/oder einen Gültigkeitsinformations wert aufweisen. Es ist möglich, die Referenz- Integritätsinformation als vorbereitete digital signierte Da tenstruktur bereitzustellen. Sie könnte z.B. in einem Firmwa re-Image des Gerätes enthalten sein.
Die geschützte Betriebsphase läuft vorzugsweise während einer Startphase des Geräts ab und kann ein Secure/Regular Boot durchführen .
Der Schutz der Betriebsphase kann durch Beschränkungen er reicht werden. Beispiele für solche Beschränkungen sind der Zugriff auf bestimmte (I/O- ) Komponenten bzw. Schnittstellen, Festlegen der Aktualisierbarkeit von Komponenten, Verwendung kryptographisch geschützter Firmware etc.)
Die Referenz - Integritätsinformation kann ereignisgesteuert ermittelt und/oder erstellt werden.
Als ein solches Ereignis ist folgendes möglich:
• Bei jedem Systemstart, nach Anlegen der Versorgungsspan nung, nach Batteriewechsel
• Nach Schließen des Gerätegehäuses (Gehäuseschalter) • Nach Montage des Gerätes (Montageschalter, der erkennt, wenn das Gerät auf einer Halterung aufgesetzt ist oder an einer Wand montiert ist)
• nach Einspielen eines Updates (Firmware, App-Update)
• nach einer Konfigurationsänderung, bei Beendigung eines Service-Modus
• Auf Benutzeranforderung
• Nach Ablauf einer Wartezeit (z.B. kann jeweils wöchent lich die Referenzinformation neu gebildet werden)
Weiterhin ist es möglich, dass eine neugebildete Referenz- Integritätsinformation auf Übereinstimmung, wobei eine Abwei chung bis zu einem vorgebbaren Grad zulässig sein kann, mit einer zurückliegend gebildeten Referenz-
Integritätsinformation geprüft bzw. verglichen wird. Bei ei ner Abweichung kann eine zumindest eine Folgemaßnahme einlei tenden Nachricht abhängig vom Vergleichsergebnis ausgegeben werden. Dies hat den Vorteil, dass eine doppelte Integritäts überprüfung erfolgt. Dadurch wird ein besonders hoher Schutz erreicht. Es wird die Übereinstimmung der mehreren, jeweils in einer geschützten Betriebsphase ermittelten Referenz- Integritätsinformationen durch die Vergleichtseinheit über prüft, sowie weiterhin die Übereinstimmung einer im regulä ren, operativen Betrieb ermittelten Laufzeit- IntegritätsprüfInformation mit der aktuellen Referenz- Integritätsinformation. In einer Ausführungsform kann als Folgemaßnahme bei einer Abweichung der gebildeten Referenz - Integritätsinformation mit einer zurückliegend gebildeten Re ferenz - Integritätsinformation der reguläre Betriebsmodus der Steuereinheit gesperrt werden. Die Sperrung kann z.B. in ei nem Service-Betriebsmodus oder durch Betätigen eines Schal ters oder eines Tasters aufgehoben werden, d.h. dass bei ei ner geänderten Referenz-Integritätsinformation eine explizite Freigabe erfolgen muss. Auch hierbei kann eine Abweichung bis zu einem vorgebbaren Grad zulässig sein. Die Referenz - Integritätsinformation unter Verwendung eines Trusted Platform Module kann ermittelt und/oder erstellt und kryptographisch geschützt werden.
Mindestens ein Wert der Referenz-Integritätsinformation soll te attestiert werden kann.
Mehrere Werte der Referenz -Integritätsinformation können ge gebenenfalls mit Zusatzinformationen in einer IMA-Liste (In- tegrity Measurement Architecture) organisiert sein. Z.B. sind eine PCR Registernummer, Template Hash Wert, Filedate, Hash Wert etc. eine mögliche Ausführungsform.
Die IMA-Liste kann mindestens einen Zufallswert (Nonce) um fassen .
Bei einer Integritäts-Selbstüberwachung benötigt das sich selbst überwachende Gerät eine vertrauenswürdige Referenz - Integritätsinformation, um die im laufenden Betrieb ermittel ten Messungen zu prüfen.
Erfindungsgemäß erstellt bzw. generiert das Gerät selbst sei ne Referenz - Integritätsinformation zur Laufzeitintegritäts prüfung .
Erfindungsgemäß wird die Referenz - Integritätsinformation durch das Gerät selbst geschützt während einer geschützten Betriebsphase ermittelt. Diese geschützte Betriebsphase kann auch als Selbstintegritäts-Anlern-Betriebsphase bezeichnet werden. Es kann dabei eine durch eine kryptographische Prüf- summe manipulationsgeschützte Integritäts-Referenzinformation gebildet werden. Dazu ermittelt eine Integritätsmesseinheit die aktuelle Integritätsinformation. Diese Integritäts- Information umfasst beispielsweise Integritätsprüfsummen von Dateien und Konfigurationsdaten, Information zu Hardwarekom ponenten (Hardware- IDs von Bauteilen, verbundenen Baugruppen wie z.B. IO-Modulen, Kernel -Modulen, Apps, Prozessliste, zu lässige Systemnutzer) und wird letztendlich als Referenz- Integritätsinformation bereitgestellt . Ein weiterer Aspekt der Erfindung ist ein Betriebsverfahren für ein insbesondere in einer Automatisierungsumgebung ver wendbares bzw. einsetzbares Gerät, wobei folgende Verfah rensschritte für eine Integritätsselbstüberwachung ausgeführt werden :
Bereitstellen einer kryptographisch geschützten bzw. vertrauenswürdigen Referenz - Integritätsinformation, wel che während einer geschützten Betriebsphase des Geräts ermittelt und/oder erstellt wird,
Vergleichen (Abgleichen) der Referenz- Integritätsinformation mit einer Laufzeit- Integritätsinformation, die während einer operativen Be triebsphase des Geräts ermittelt und/oder erstellt wird, Ausgeben einer zumindest eine Folgemaßnahme einleitenden Nachricht abhängig vom Vergleichsergebnis.
Der Erfindung bringt den Vorteil mit sich, dass die bei einer Integritäts-Selbstüberwachung benötigte Referenz- Integritätsinformation vom Gerät selbst erstellt und somit nicht von anderen Geräten bzw. die Referenz - Integritätsinformation liefernde Services abhängig ist.
Des Weiteren ist ein Computerprogramm (produkt) umfassend Pro gramm-Code vorgesehen, der von mindestens einem Prozessor ausgeführt werden kann und der bewirkt, dass der mindestens eine Prozessor das erfindungsgemäße (Betriebs- ) Verfahren und dessen Ausführungsformen ausführt. Das Computerprogramm kann auf einer Steuereinheit der vorstehend genannten Art ablaufen oder als Computerprogrammprodukt auf einem computerlesbaren Medium gespeichert sein.
Zusätzlich kann eine Variante des Computerprogramm (produktes) mit Programmbefehlen zur Konfiguration eines Erstellungsge räts, beispielsweise ein 3D-Drucker, ein Computersystem oder ein zur Erstellung von Prozessoren und/oder Geräten geeignete Herstellungsmaschine sein. Das Verfahren und Computerprogramm (produkte) können entspre chend der Weiterbildungen/Ausführungsformen der vorgenannten Einrichtung und deren Weiterbildungen/Ausführungsformen aus gebildet sein.
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusam menhang mit der folgenden Beschreibung der Ausführungsbei spiele, die im Zusammenhang mit den Figuren näher erläutert werden. Dabei zeigt in schematischer Darstellung:
Figur 1 Funktionsblöcke der erfindungsgemäßen Steuereinheit für die Erstellung einer Referenz- Integritätsinformation und
Figur 2 Funktionsblöcke der erfindungsgemäßen Steuereinheit im operativen Betriebsmodus.
Figur 1 zeigt Funktionsblöcke der erfindungsgemäßen Steuer einheit bzw. Gerätes D, um eine Referenzintegritätsinformati on, die mit einer kryptographisehen Prüfsumme CS geschützt sein kann, zu erstellen bzw. generieren bzw. zu bilden. Dazu erfolgt eine spezielle geschützte Betriebsphase SB, vorzugs weise eine Startphase (Boot-Phase) , die die Integrität der Prüffunktionen CF und des Referenz -
Integritätsinformationsgenerators REFG sicherstellt. Weiter hin werden Geräteschnittstellen, z.B. eine Netzwerkschnitt stelle NIF, Ein-/Ausgabeschnittstelle IOF und Service- Schnittstelle SIF, deaktiviert, damit sichergestellt ist, dass die Referenzintegritätsinformationswerte nicht durch ei nen Angreifer manipuliert werden können, der über eine solche Schnittstelle auf das Gerät zugreift. Eine Bereitstellungs einheit IG stellt dann die vom Referenz-
Integritätsinformationsgenerators REFG erstellte Referenz- Integritätsinformation der Laufzeit-
Integritätsselbstüberwachungsfunktion IC der Steuereinheit in der geschützten Betriebsphase bereit, damit die Laufzeit- Integritätsüberwachungsfunktion zur operativen Betriebsphase durchgeführt werden kann, mit der ein Vergleich der Referenz - Integritätsinformation mit einer Laufzeit-Integritäts
information einhergeht.
Weiterhin ist es möglich, dass eine neugebildete Referenz- Integritätsinformation auf Übereinstimmung, wobei eine Abwei chung bis zu einem vorgebbaren Grad zulässig sein kann, mit einer zurückliegend gebildeten Referenz-
Integritätsinformation geprüft wird. Bei einer Abweichung kann eine zumindest eine Folgemaßnahme einleitenden Nachricht abhängig vom Vergleichsergebnis ausgegeben werden. Dies hat den Vorteil, dass eine doppelte Integritätsüberprüfung er folgt. Dadurch wird ein besonders hoher Schutz erreicht. Es wird die Übereinstimmung der mehreren, jeweils in einer ge schützten Betriebsphase ermittelten Referenz-
Integritätsinformationen überprüft, sowie weiterhin die Über einstimmung einer im regulären, operativen Betrieb ermittel ten Laufzeit-IntegritätsprüfInformation mit der aktuellen Re ferenz - Integritätsinformation . In einer Ausführungsform kann bei einer Abweichung der gebildeten Referenz -
Integritätsinformation mit einer zurückliegend gebildeten Re ferenz - Integritätsinformation der reguläre Betriebsmodus der Steuereinheit gesperrt werden. Die Sperrung kann z.B. in ei nem Service-Betriebsmodus oder durch Betätigen eines Schal ters oder eines Tasters aufgehoben werden, d.h. dass bei ei ner geänderten Referenz-Integritätsinformation eine explizite Freigabe erfolgen muss. Auch hierbei kann eine Abweichung bis zu einem vorgebbaren Grad zulässig sein.
Figur 2 zeigt die Funktionsblöcke der erfindungsgemäßen Steu ereinheit mit einer Laufzeit-Geräteintegritätsselbst- überwachung .
Während der regulären operativen Betriebsphase wird die ange lernte, manipulationsgeschützte Integritäts-
Referenzinformation verwendet, um die Integrität des Gerätes zu prüfen. Dazu ermittelt eine Integritätsmesseinheit ME die aktuelle Integritätsinformation. Es wird die Übereinstimmung mit der Laufzeitintegritätsinformation mit der Referenzinteg- ritätsinformation durch eine Vergleichseinheit ICH geprüft. Weiterhin wird die kryptographische Prüfsumme z.B. eine digi tale Signatur oder einen Nachrichtenauthentisierungscode der Integritäts-Referenzinformation vorzugsweise durch eine Prü feinheit CS geprüft. Bei einer Abweichung kann eine zumindest eine Folgemaßnahme einleitenden Nachricht ausgegeben werden. Bei Abweichung wird eine solche Nachricht z.B. eine Alarm nachricht NF bereitgestellt, eine Folgemaße z.B. ein Auf leuchten einer Diode DD, ein Mitprotokollieren in einem Log file LOG eingeleitet, das Gerät durch eine Folgemaßnahmefunk tion RF neu gestartet, ein Schaltsignal S durch eine Ausgabe einheit R ausgegeben oder ggf. Konfigurationsdaten (insbeson dere kryptographische Schlüssel) gelöscht.
Die Betriebsphasen (Anlernen SB, regulär RB) können durch ein unterschiedlich striktes Secure Boot geschützt sein:
• "Starkes" Secure Boot der Laufzeitintegritäts- Selbstüberwachungsfunktion . Dadurch ist sichergestellt, dass beim Erfassen bzw. Ermitteln der Integritäts- Referenzinformation keine manipulierte Software ausge führt wird.
• Offenes Boot oder ein offeneres Secure Boot für den ope rativen Betrieb bzw. Regelbetrieb: Hier können weitere Software-Komponenten flexibler gestartet werden. Es ist dennoch überprüfbar, dass zumindest die im Anlern- Betriebsmodus ermittelten Integritäts-Messdaten korrekt sind und diese auch im offeneren Betriebsmodus gelten. Dies wird durch die Laufzeitintegritatsüberwachung er reicht. Es wird also die hohe Sicherheit eines strikten „Secure Boot" in einen weniger stark eingeschränkten Be triebsmodus (z.B. Regelbetrieb) übertragen. Im operati ven Betrieb können z.B. zusätzliche Software-Module und/oder Apps geladen und ausgeführt werden, deren Aus führung im „starken" Secure Boot Modus nicht zulässig ist . Dies hat den Vorteil, dass ein Secure Boot praktikabel reali siert werden kann, insbesondere auf flexibel aktualisierbaren Geräten (z.B. App-Update, Installation von Zusatz -Apps durch einen Anwender) . Es ist für den operativen Betriebsmodus kein stringentes „Secure Boot" erforderlich, das die Aktualisier barkeit beschränken kann.
Vorzugsweise erfolgt für das Anlernen ein „Autistisches Secure Boot", bei dem sichergestellt wird, dass das Gerät nicht von außen angegriffen werden kann. Dabei werden
Schnittstellen, insbesondere Netzwerkschnittstellen, Ein- /Ausgabeports , Service-Schnittstellen, Backplane, Debug- Ports, deaktiviert. Dies kann auch als „closed Startup" be zeichnet werden. Weiterhin erfolgt vorzugsweise ein „Secure Boot", bei dem nur zulässige, durch eine kryptographische Prüfsumme geschützte Firmware geladen wird.
Das Ermitteln der Integritäts-Referenzinformation kann zu un terschiedlichen Ereignissen ausgelöst werden, die eine Ereig nissteuerungseinheit bzw. Event Händler EH steuert:
• Bei jedem Systemstart, nach Anlegen der Versorgungsspan nung, nach Batteriewechsel
• Nach Schließen des Gerätegehäuses (Gehäuseschalter)
• Nach Montage des Gerätes (Montageschalter, der erkennt, wenn das Gerät auf einer Halterung aufgesetzt ist oder an einer Wand montiert ist)
• nach Einspielen eines Updates (Firmware, App-Update)
• nach einer Konfigurationsänderung, bei Beendigung Ser vice-Modus
• Auf Benutzeranforderung
• Nach Ablauf einer Wartezeit (z.B. kann jeweils wöchent lich die Referenz - Integritätsinformation neu gebildet werden)
Die Referenz - Integritätsinformation kann weiterhin Gültig keitsinformation aufweisen, die neben der kryptographisehen Prüfsumme verifiziert bzw. geprüft werden, um zu ermitteln, ob eine Referenz-Integritätsinformation gültig ist (z.B.
Zeitstempel, Gültigkeitsdauer, Boot-Counter, Update-Counter, Firmware-Version, Geräte-Hardwareversion) . Dadurch kann ins besondere sichergestellt werden, dass nicht eine alte, frühe re Referenz - Integritätsinformation verwendet wird.
In einer Ausführungsform der Erfindung ist denkbar, dass das Gerät quasi redundant bzw. gedoppelt bzw. gespiegelt ausge staltet ist. Dann ist das redundante "Slave" -Gerät quasi bau gleich zu dem "Master" -Gerät gestaltet. In die Figur 2 könnte dann das "Master" -Gerät und in die Figur 1 das "Slave" -Gerät interpretiert werden. So erhält das "Master" -Gerät vom "Sla ve" -Gerät die generierte Referenz-Integritätsinformation für den Vergleich mit der Laufzeit-Integritätsinformation.
In einer Ausführungsform wird die Laufzeitintegritäts- Referenzinformation unter Verwendung eines nicht in den Figu ren dargestellten Trusted Platform Modules TPM vom Referenz - Integritätsinformation-Generator REFG gebildet und kryptogra- phisch geschützt. Dazu werden Integritäts-Messwerte ermittelt und ein PCR-Register des TPMs davon abhängig aktualisiert.
Der Wert wird vom TPM digital signiert bzw. attestiert, d.h. das TPM-Modul bildet eine kryptographisch geschützte, digital signierte Datenstruktur, die den Inhalt des PCR-Registers be stätigt. Die Attestierung wird hierbei nicht einem anderen Gerät bereitgestellt, sondern von diesem bereitgestellt und geprüft. Die Attestierung wird innerhalb des Gerätes von der Laufzeit-Integritätsselbstüberwachungsfunktion IC verwendet, um die Integrität der Referenzdaten in einem anderen Be triebsmodus zu prüfen.
Dazu kann insbesondere Linux Integrity Measurement Architec- ture (IMA) verwendet werden. D.h. die IMA-Measurement List wird durch den vom Referenz - Integritätsinformation-Generator REFG gebildet. Im regulären Betrieb RB wird die Referenz- Integritätsinformation anhand der TPM-Attestierung geprüft, und falls diese gültig ist, wird deren Inhalt zur Prüfung der zur Laufzeit ermittelten Integritätsmessungen verwendet. D.h. dass eine TPM-Attestierung, die auf dem Gerät in einem ge schützten Betriebsmodus erstellt wurde, auf dem gleichen Ge rät später in einem operativen Betriebsmodus, d.h. im regulä ren Betrieb, überprüft wird.
Eine Attestierungsdatenstruktur kann den PCR-Wert durch eine digitale Signatur bestätigen. Optional ist eine Nonce vorhan den, insbesondere ein Zufallswert, der von dem Knoten bereit gestellt wurde, für den die Attestierung ausgestellt wird. Weiterhin ist beispielhaft eine (stark verkürzt dargestellte) Integritäts-Measurement-Liste (IMA-Measurement-Datei) enthal ten. Diese enthält eine Vielzahl von Messungen. Ein Eintrag gibt die Registernummer des PCR-Registers (beispielsweise Nr. 10) an einen Template-Hash-Wert , einen Filedate-HashWert und einen Hinweis auf den Dateinamen wieder (siehe beispielsweise https : //sourceforge net/p/linux- ima/wiki/Home/ )
Diese Werte der IMA-Measurement-Liste werden z.B. wie folgt bestimmt : template-hash: shal hash (filedata-hash length, filedata-hash, pathname length, pathname)
filedata-hash : sha256 hash (filedata)
Die IMA-basierte Ausführungsform hat den Vorteil, dass sie mit relativ wenig Aufwand realisierbar ist. Dabei ist es ins besondere möglich, die in der Anlernphase ermittelte und durch die TPM-Attestierung bestätigte IMA-Liste (Referenzin formation) mit der beim Systemstart des operativen, regulären Betriebsmodus ermittelten IMA-Liste auf Übereinstimmung zu vergleichen. Dies hat den Vorteil, dass die Zulässigkeit der im operativen Betrieb ermittelten IMA-Liste einfach durch das Gerät selbst geprüft werden kann.
Eine weitere Möglichkeit, die Referenz-IMA-Liste zu prüfen, ist, zur Laufzeit wiederholt die Messungen zu wiederholen und den ermittelten Messwert auf Übereinstimmung mit dem in der Referenz - IMA-Liste hinterlegten Messwert zu prüfen.
Es wäre möglich, die Referenzinformation als vorbereitete di gital signierte Datenstruktur bereitzustellen. Sie könnte z.B. in einem Firmware- Image des Gerätes enthalten sein.
Obwohl die Erfindung im Detail durch das bevorzugte Ausfüh rungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .
Die Implementierung der vorstehend beschriebenen Prozesse o- der Verfahrensabläufe kann anhand von Instruktionen erfolgen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als computer lesbare Speicher bezeichnet) vorliegen. Computerlesbare Spei cher sind beispielsweise flüchtige Speicher wie Caches, Puf fer oder RAM sowie nichtflüchtige Speicher wie Wechseldaten träger, Festplatten, usw.
Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können ver schiedenste Verarbeitungsstrategien zum Einsatz kommen, bei spielsweise serielle Verarbeitung durch einen einzelnen Pro zessor oder Multiprocessing oder Multitasking oder Parallel verarbeitung usw. Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem ent fernten System abzulegen und darauf via Netzwerk zuzugreifen. Der Begriff "Prozessor", "zentrale Signalverarbeitung",
"Steuereinheit" oder "Datenauswertemittel " , wie hier verwen det, umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozesso ren, digitale Signalprozessoren, anwendungsspezifische inte- grierte Schaltungen (ASICs) , programmierbare Logikschaltungen wie FPGAs , diskrete analoge oder digitale Schaltungen und be liebige Kombinationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbei tungsmittel . Prozessoren können dabei aus einer oder mehreren Vorrichtungen bzw. Einrichtungen bzw. Einheiten bestehen. Be steht ein Prozessor aus mehreren Vorrichtungen, können diese zur parallelen oder sequentiellen Verarbeitung bzw. Ausfüh rung von Instruktionen ausgelegt bzw. konfiguriert sein.

Claims

Patentansprüche
1. Steuereinheit (D) für eine Integritätsselbstüberwachung geeignet für ein insbesondere in einer Automatisierungsumge bung verwendbares Gerät, aufweisend: eine Bereitstellungseinheit (REFG) , die dazu ausgelegt ist, eine kryptographisch geschützte Referenz- Integritätsinformation bereitzustellen, welche während einer strikten geschützten Boot-Betriebsphase (SB) des Geräts erstellt wird,
eine Vergleichseinheit (ICH) , die dazu ausgelegt ist, die Referenz - Integritätsinformation (REFP) mit einer Laufzeit-Integritätsinformation zu vergleichen, die wäh rend einer offenen Boot-Betriebsphase des Geräts ermit telt wird, und
einer Ausgabeeinheit (R) , die dazu ausgelegt ist, eine zumindest eine Folgemaßnahme einleitenden Nachricht ab hängig vom Vergleichsergebnis auszugeben.
2. Steuereinheit nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass, wenn das Vergleichsergebnis eine Abwei chung der Referenz - Integritätsinformation mit der Laufzeit- Integritätsinformation repräsentiert ,
die Nachricht einen Alarm, einen Neustart, ein Löschen von Daten, ein Leuchten einer Diode (DD) und/oder ein Herstellen einer Schaltverbindung (S) für die Folgemaßnahme einleiten kann .
3. Steuereinheit nach dem vorhergehenden Anspruch 1, dadurch gekennzeichnet, dass, wenn das Vergleichsergebnis eine Über einstimmung der Referenz - Integritätsinformation mit der Lauf zeit-Integritätsinformation repräsentiert, eine Bestätigungs nachricht (NF) ausgegeben werden kann.
4. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Gerät redundant in Form ei nes Master- und eines Slave-Geräts ausgestaltet ist, wobei die kryptographisch geschützte Referenz -
Integritätsinformation vom Slave-Gerät bereitgestellt und die Laufzeit-Integritätsinformation vom Master-Gerät ermittelt wird .
5. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Referenz - Integritätsinformation und die Laufzeit-
Integritätsinformation jeweils mindestens einen Wert für ein oder mehrere Integritätsprüfsummen (CS) von Dateien und/oder Konfigurationsdaten und/oder zumindest einen Informationswert zu ein oder mehreren Hardwarekomponenten des Geräts umfassen.
6. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die geschützte Betriebsphase während einer Startphase des Geräts abläuft.
7. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Schutz der Betriebsphase durch Beschränkungen erreicht werden kann.
8. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Referenz -
Integritätsinformation ereignisgesteuert ermittelt und/oder erstellt werden kann.
9. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Referenz -
Integritätsinformation unter Verwendung eines Trusted Plat- form Module ermittelt und/oder erstellt und kryptographisch geschützt werden kann.
10. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass mindestens ein Wert der Refe renz - Integritätsinformation attestiert werden kann.
11. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass mehrere Werte der Referenz - Integritätsinformation gegebenenfalls mit Zusatzinformationen in einer IMA-Liste (Integrity Measurement Architecture) orga nisiert sind.
12. Steuereinheit nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die IMA-Liste mindestens einem Zufalls wert umfasst.
13. Betriebsverfahren für ein insbesondere in einer Automati sierungsumgebung verwendbares Gerät, wobei folgende Verfah rensschritte für eine Integritätsselbstüberwachung ausgeführt werden :
Bereitstellen einer kryptographisch geschützten Refe renz - Integritätsinformation, welche während einer strik ten geschützten Boot-Betriebsphase des Geräts erstellt wird,
Vergleichen der Referenz - Integritätsinformation mit ei ner Laufzeit-Integritätsinformation, die während einer offenen Boot-Betriebsphase des Geräts ermittelt wird, Ausgeben einer zumindest eine Folgemaßnahme einleitenden Nachricht abhängig vom Vergleichsergebnis.
14. Steuereinheit nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass das Gerät redundant in Form eines Mas ter- und eines Slave-Geräts ausgestaltet ist, wobei die kryp tographisch geschützte Referenz-Integritätsinformation vom Slave-Gerät bereitgestellt und die Laufzeit- Integritätsinformation vom Master-Gerät ermittelt wird.
15. Betriebsverfahren nach einem der vorhergehenden Ansprü che, dadurch gekennzeichnet, dass die Referenz - Integritätsinformation und die Laufzeit-
Integritätsinformation jeweils mindestens einen Wert für ein oder mehrere Integritätsprüfsummen von Dateien und/oder Kon figurationsdaten und/oder zumindest einen Informationswert zu ein oder mehreren Hardwarekomponenten des Geräts umfassen.
16. Betriebsverfahren nach einem der vorhergehenden Verfah rensansprüche, dadurch gekennzeichnet, dass die geschützte Betriebsphase während einer Startphase des Geräts abläuft.
17. Betriebsverfahren nach einem der vorhergehenden Verfah rensansprüche dadurch gekennzeichnet, dass der Schutz der Be triebsphase durch Beschränkungen erreicht wird.
18. Betriebsverfahren nach einem der vorhergehenden Verfah rensansprüche, dadurch gekennzeichnet, dass die Referenz - Integritätsinformation ereignisgesteuert ermittelt und/oder erstellt wird.
19. Betriebsverfahren nach einem der vorhergehenden Verfah rensansprüche, dadurch gekennzeichnet, dass die Referenz - Integritätsinformation unter Verwendung eines Trusted Plat- form Module ermittelt und/oder erstellt und kryptographisch geschützt wird.
20. Betriebsverfahren nach einem der vorhergehenden Verfah rensansprüche, dass mindestens ein Wert der Referenz - Integritätsinformation attestiert wird.
21. Betriebsverfahren nach einem der vorhergehenden Verfah rensansprüchen, dadurch gekennzeichnet, dass mehrere Werte der Referenz - Integritätsinformation gegebenenfalls mit Zu- satzinformationen in einer IMA-Liste organisiert werden.
22. Betriebsverfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die IMA-Liste mindestens einem Zufallswert umfasst.
PCT/EP2019/066865 2018-07-03 2019-06-25 Steuereinheit und betriebsverfahren für eine integritätsselbstüberwachung geeignet für ein insbesondere in einer automatisierungsumgebung verwendbares gerät WO2020007660A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP18181330.4A EP3591559A1 (de) 2018-07-03 2018-07-03 Steuereinheit und betriebsverfahren für eine integritätsselbstüberwachung geeignet für ein insbesondere in einer automatisierungsumgebung verwendbares gerät
EP18181330.4 2018-07-03

Publications (1)

Publication Number Publication Date
WO2020007660A1 true WO2020007660A1 (de) 2020-01-09

Family

ID=62846015

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/066865 WO2020007660A1 (de) 2018-07-03 2019-06-25 Steuereinheit und betriebsverfahren für eine integritätsselbstüberwachung geeignet für ein insbesondere in einer automatisierungsumgebung verwendbares gerät

Country Status (2)

Country Link
EP (1) EP3591559A1 (de)
WO (1) WO2020007660A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4261722A1 (de) * 2022-04-14 2023-10-18 Siemens Aktiengesellschaft Ausgeben einer gemeinsamen, kryptographisch geschützten gerätekonfigurationsinformation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110213953A1 (en) * 2010-02-12 2011-09-01 Challener David C System and Method for Measuring Staleness of Attestation Measurements
DE102013213314A1 (de) * 2013-07-08 2015-01-08 Siemens Aktiengesellschaft Hinterlegen mindestens eines berechenbaren Integritätsmesswertes in einem Speicherbereich eines Speichers
DE102016205289A1 (de) 2016-03-31 2017-10-05 Siemens Aktiengesellschaft Verfahren, Prozessor und Gerät zur Integritätsprüfung von Nutzerdaten

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110213953A1 (en) * 2010-02-12 2011-09-01 Challener David C System and Method for Measuring Staleness of Attestation Measurements
DE102013213314A1 (de) * 2013-07-08 2015-01-08 Siemens Aktiengesellschaft Hinterlegen mindestens eines berechenbaren Integritätsmesswertes in einem Speicherbereich eines Speichers
DE102016205289A1 (de) 2016-03-31 2017-10-05 Siemens Aktiengesellschaft Verfahren, Prozessor und Gerät zur Integritätsprüfung von Nutzerdaten

Also Published As

Publication number Publication date
EP3591559A1 (de) 2020-01-08

Similar Documents

Publication Publication Date Title
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
EP3326101B1 (de) Verfahren und system zur firmware-aktualisierung einer steuereinrichtung zur prozesssteuerung
DE102016110414A1 (de) Verfahren und vorrichtungen zur steuerung der kommunikation von endpunkten in einem industrieunternehmenssystem auf der basis von integrität
DE112019001514T5 (de) Programmaktualisierungssystem, Programmaktualisierungsverfahren und Computerprogramm
EP3543940A1 (de) Computerimplementiertes verfahren zum bereitstellen von daten, insbesondere für eine konformitätsverfolgung
DE112016000576T5 (de) Sicheres Booten eines Computers von einer für den Benutzer vertrauenswürdigen Einheit aus
DE112014004313T5 (de) Überschreiboperation-Erkennungssystem, Überschreiboperation-Erkennungseinrichtung und Informationsverarbeitungseinrichtung
EP3620917B1 (de) Verwalten von lizenzen für soft-ip auf einem partiell rekonfigurierbaren hardware-system
EP3599567A1 (de) Vorrichtung und verfahren für eine integritätsüberprüfung einer oder mehrerer gerätekomponenten
DE102016210788B4 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
WO2020007660A1 (de) Steuereinheit und betriebsverfahren für eine integritätsselbstüberwachung geeignet für ein insbesondere in einer automatisierungsumgebung verwendbares gerät
DE102018217431A1 (de) Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät
DE102018213616A1 (de) Kryptografiemodul und Betriebsverfahren hierfür
EP3009992A1 (de) Verfahren und vorrichtung zum verwalten von zutrittsberechtigungen
DE102022103553A1 (de) Authentifizierung einer fahrzeugrechenvorrichtung
WO2020088908A1 (de) Vorrichtung und betriebsverfahren zum überprüfen von betriebsdaten einer gesicherten start-betriebsphase eines insbesondere in einer industriellen anlagenumgebung verwendbaren gerätes
EP3595256A1 (de) Vorrichtung und verfahren zum betreiben einer durch software gestalteten verarbeitungseinheit für ein gerät
EP3347851A1 (de) Schutzvorrichtung, sicherheitssystem und schutzverfahren
DE102021125749A1 (de) Vorrichtung, Verfahren und Computerprogramm für eine Überwachung einer Sicherheit von Rechen-Funktionsblöcken in einem Fahrzeug
WO2019115376A1 (de) Verfahren und system zum autorisieren einer älteren applikation eines steuergeräts eines fahrzeugs
EP4150492A1 (de) Verfahren und secure-element zum nachweis einer vertrauenswürdigen elektronischen baugruppe
DE102021209579A1 (de) Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul und Attestierungseinrichtung
WO2022184407A1 (de) Verfahren zum betreiben eines steuergeräts und steuergerät
EP4181000A1 (de) Verfahren und rechenumgebung zum erstellen und anwenden eines prüfalgorithmus für rechenvorgänge

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19739898

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19739898

Country of ref document: EP

Kind code of ref document: A1